保護澳大利亞政府的資料不被存取、濫用和公開,一直是採購和利用雲端服務的最主要考量。AWS 了解客戶倚賴 AWS 基礎設施提供的安全交付功能,以及擁有讓客戶建立更安全環境之功能的重要性。AWS 讓客戶達到這些目標的方式是透過建立穩固的控制環境來設定交付服務的安全優先順序,並提供各種安全服務和功能供客戶使用。這些服務為客戶 IT 控制環境提供全面的控制權、簡化安全服務的管理,以及為澳洲政府提供改進的安全成果。
資訊安全註冊評估機構計劃 (IRAP) 可讓澳大利亞政府客戶驗證已設定適當的管制,並判斷解決澳大利亞通訊局 (ASD) 資訊安全手冊 (ISM) 需求的適當責任模式。
AWS 為客戶提供各種安全功能,依據 ASD ISM 管制、機構準則和政策來保護他們的資料。我們會持續更新提供給客戶的安全工具,並針對現有安全功能定期發行增強功能。此外,我們還為客戶提供各種白皮書、線上文件和講述安全性的影片。我們的全球白皮書提供保護資料的建議,同樣適用於澳大利亞政府 AWS 工作負載。
如何使用 AWS IRAP 安全文件和準則? 澳大利亞政府客戶可以利用我們的 ASD 認證和獨立的 IRAP 評估機構合規證明,來加速他們的認證和鑑定目標。 為支援澳大利亞政府客戶,我們提供安全準則和文件的套件,以加深其對於使用 AWS 做為認證的雲端服務供應商的安全和合規概念。 特別是 IRAP 依據 ISM 評估 AWS 基礎設施的具體事項,我們將其置於 NDA 下 (如要求) 以提供給政府組織或其合作夥伴: – 有關 AWS 之 ISM 合規的 IRAP 報告 – AWS 基礎設施平台的 ASD 認證證明 – 管制實作摘要 用於評估和測試 AWS 基礎設施實作之控制的其他報告可在 NDA 下 (如要求) 取得: – 服務組織控制 1 (SOC1) Type II 報告 – 服務組織控制 2 (SOC2) Type II 報告 – ISO 27001 憑證與適用性聲明 – PCI 合規聲明文件與 PCI 責任摘要 有關其他報告的詳細資訊,請參閱 AWS 合規常見問答集。 當 AWS 安全文件與澳大利亞政府客戶或與澳大利亞政府有業務往來的承包商有關時,若要請求其存取權,請聯絡 AWS 銷售和業務開發部門或傳送電子郵件至 awscompliance@amazon.com。 |
IRAP 評估機構是唯一被認可有資格依循澳大利亞政府 ISM 來評估 ICT 系統的機構,它說明了合規和非合規的領域、描述剩餘的風險和修復動作,並建議可進行認證的認證機構。
文件管制 |
文件 |
聯邦機構套件 |
SLED 套件 |
AWS 合作夥伴 |
DRM |
IRAP 報告第 2 階段 |
X |
|
|
| DRM | ASD 認證報告 | X | ||
公開 |
X |
X |
X |
|
公開 |
X |
X |
X |
|
DRM |
管制實作摘要 |
X |
X |
X |
這些文件的發佈方式? · 公開文件 – 透過電子郵件傳送或是在這個網站上公開提供。 · 確認簽署 NDA 後,會以受密碼保護之 Adobe pdf 附件的形式,透過電子郵件傳送 NDA 文件。您需要 Adobe Reader 9.0 或更新版本才能存取。 · DRM 文件使用 Adobe LiveCycle 管理員的數位版權管理加以嚴格管制,需要 Adobe Reader 9.0 或更新版本才能開啟。一般來說,它們可防止內容被複製,並在限定期間內只開放給需要該文件的個人檢視。 這些文件有哪些存取要求? 所有套件都需要組織與 AWS 簽署適當的 NDA 才能使用。代表聯邦機構或 SLED 進行安全評估鑑定的承包商提出的請求,還需要從有權授予存取權的聯邦安全代表取得書面許可。 我還能使用哪些其他文件,以便證明可以在 AWS 上執行澳大利亞政府工作負載? 請參閱:AWS 風險與合規白皮書 合規計劃頁面上可以找到 AWS 維護的認證和報告,以及 AWS 在全球實作之管制的延伸範例。另外也應注意 AWS 已取得美國政府 FedRAMP 計劃的操作授權書 (ATO),其管制衍生自 NIST800-53Rev4。這些管制不但廣泛且公開使用,可為客戶提供在 AWS 執行工作負載的高度保證,讓客戶更有信心。 可用於評估和測試 AWS 基礎設施實作之控制的其他報告: – 服務組織控制 1 (SOC1) TypeII 報告 – 服務組織控制 2 (SOC2) TypeII 報告 o SOC2 可用性 o SOC2 安全性 – ISO 27001 憑證與適用性聲明 – PCI 合規聲明文件與 PCI 責任摘要 – AWS 安全控制摘要 若要請求存取 AWS 合規文件,請聯絡 AWS 銷售和業務開發部門或傳送電子郵件到 awscompliance@amazon.com。 |
